Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo della pagina Riepilogo per identificare un'entità di interesse
Utilizza la pagina Riepilogo in Amazon Detective per identificare le entità per indagare sull'origine delle attività nelle 24 ore precedenti. La pagina Riepilogo di Amazon Detective aiuta a identificare le entità associate a tipi specifici di attività insolite. È uno dei tanti possibili punti di partenza per un'indagine.
Per visualizzare la pagina Riepilogo, nel riquadro di navigazione di Detective, scegli Riepilogo. Per impostazione predefinita, la pagina Riepilogo viene visualizzata anche quando si apre per la prima volta la console Detective.
Dalla pagina Riepilogo, è possibile identificare le entità che soddisfano i seguenti criteri:
-
Indagini che mostrano potenziali eventi di sicurezza identificati da Detective
-
Entità coinvolte in attività che si sono verificate in geolocalizzazioni appena osservate
-
Entità che hanno effettuato il maggior numero di chiamate API
-
Istanze EC2 con il maggior volume di traffico
-
Cluster di container con il maggior numero di container
Da ogni pannello della pagina Riepilogo, puoi passare al profilo di un'entità selezionata.
Mentre esamini la pagina Riepilogo, puoi modificare il periodo di validità in modo da visualizzare l'attività per qualsiasi periodo di 24 ore nei 365 giorni precedenti. Quando modifichi la data e l'ora di inizio, la data e l'ora di fine vengono aggiornate automaticamente a 24 ore dall'ora di inizio scelta.
Con Detective puoi accedere fino a un anno di dati storici degli eventi. Questi dati sono disponibili attraverso una serie di visualizzazioni che mostrano le variazioni del tipo e del volume di attività in una finestra temporale selezionata. Detective collega queste modifiche ai GuardDuty risultati.
Per ulteriori informazioni sui dati di origine in Detective, consulta Dati di origine utilizzati in un grafico comportamentale.
Indagini
Il pannello Indagini riporta i potenziali eventi di sicurezza identificati da Detective. Nel pannello Indagini, è possibile visualizzare le indagini critiche e i ruoli e utenti AWS corrispondenti che sono stati interessati dagli eventi di sicurezza in un determinato periodo di tempo. Le indagini raggruppano gli indicatori di compromissione per aiutare a determinare se una AWS risorsa è coinvolta in attività insolite che potrebbero indicare un comportamento dannoso e il relativo impatto.
Seleziona Visualizza tutte le indagini per esaminare i risultati, valutare i gruppi di risultati e i dettagli delle risorse per accelerare le indagini di sicurezza. Le indagini vengono visualizzate in base al periodo di validità selezionato. È possibile modificare il periodo di validità per visualizzare le indagini in un intervallo di tempo di 24 ore nei 365 giorni precedenti. Puoi passare direttamente a Indagini critiche per visualizzare un rapporto di indagine dettagliato.
Se identificate un AWS ruolo o un utente che sembra avere attività sospette, potete passare direttamente dal pannello Investigazioni al ruolo o all'utente per continuare l'indagine. Passa a un ruolo o un utente e fai clic su Esegui indagine per generare un rapporto sulle indagini. Dopo aver eseguito un'indagine su un ruolo o un utente, il ruolo o l'utente viene spostato nella scheda Indagine eseguita.
Geolocalizzazioni appena osservate
Le geolocalizzazioni appena osservate evidenziano le località geografiche che sono state all'origine dell'attività nelle 24 ore precedenti, ma che non erano state rilevate durante il periodo di riferimento precedente.
Il pannello include fino a 100 geolocalizzazioni. Le posizioni sono contrassegnate sulla mappa ed elencate nella tabella sotto la mappa.
Per ogni geolocalizzazione, la tabella mostra il numero di chiamate API non riuscite e riuscite effettuate da tale geolocalizzazione nelle 24 ore precedenti.
Puoi espandere ogni geolocalizzazione per visualizzare l'elenco di utenti e ruoli che hanno effettuato chiamate API da quella geolocalizzazione. Per ogni principale, la tabella elenca il tipo e l' Account AWS associato.
Se identifichi un ruolo o un utente che sembra sospetto, puoi passare direttamente dal pannello al profilo del ruolo o dell'utente per continuare l'indagine. Per passare a un profilo, scegli l'identificatore dell'utente o del ruolo.
Detective determina la posizione delle richieste utilizzando i database MaxMind GeoIP. MaxMind riporta un'accuratezza molto elevata dei propri dati a livello nazionale, sebbene la precisione vari in base a fattori quali il paese e il tipo di IP. Per ulteriori informazioni su MaxMind, consulta Geolocalizzazione MaxMind IP
Gruppi di risultati attivi negli ultimi 7 giorni
La sezione Gruppi di risultati attivi negli ultimi 7 giorni mostra raggruppamenti correlati di risultati, entità e prove di Detective che si sono verificati nel tuo ambiente in un determinato periodo di tempo. Questi raggruppamenti mettono in correlazione attività insolite che potrebbero indicare un comportamento dannoso. La pagina di riepilogo mostra un massimo di cinque gruppi ordinati in base ai gruppi contenenti i risultati più critici che sono stati attivi nell'ultima settimana.
Puoi selezionare i valori nei contenuti Tattica, Account, Risorse e Risultati per visualizzare maggiori dettagli.
I gruppi di risultati vengono generati su base giornaliera. Se identifichi un gruppo di risultati che ti interessa, puoi selezionare il titolo per passare alla visualizzazione dettagliata del profilo di un gruppo e continuare l'indagine.
Ruoli e utenti con il maggior volume di chiamate API
La sezione Ruoli e utenti con il maggior volume di chiamate API riporta gli utenti e i ruoli che hanno effettuato il maggior numero di chiamate API nelle 24 ore precedenti.
Il pannello può includere fino a 100 utenti e ruoli. Per ogni utente o ruolo, puoi vedere il tipo (utente o ruolo) e l'account associato. Puoi anche vedere il numero di chiamate API emesse da quell'utente o ruolo nelle 24 ore precedenti.
Per impostazione predefinita, vengono visualizzati i ruoli collegati ai servizi. I ruoli collegati ai servizi possono produrre grandi volumi di AWS CloudTrail attività, il che sostituisce i principi che si desidera approfondire. Puoi scegliere di disattivare Mostra ruoli collegati al servizio, per filtrare i ruoli collegati al servizio dalla visualizzazione della pagina di riepilogo.
È possibile esportare un file con valori separati da virgole (.csv) che contiene i dati in questo pannello.
È inoltre disponibile una cronologia del volume di chiamate API per i 7 giorni precedenti. La sequenza temporale può aiutarti a determinare se il volume di chiamate API è insolito per quel principale.
Se identifichi un ruolo o un utente per cui il volume di chiamate API sembra sospetto, puoi passare direttamente dal pannello al ruolo o all'utente per continuare l'indagine. Puoi anche visualizzare il profilo dell'account associato all'utente o al ruolo. Per visualizzare un profilo, scegli l'utente, il ruolo o l'identificatore dell'account.
Istanze EC2 con il maggior volume di traffico
La sezione istanze EC2 con il maggior volume di traffico identifica le istanze EC2 che hanno registrato il maggior volume totale di traffico nelle 24 ore precedenti.
Il pannello può includere fino a 100 istanze EC2. Per ogni istanza EC2, puoi visualizzare l'account associato e il numero di byte in entrata, di byte in uscita e di byte totali delle 24 ore precedenti.
È possibile esportare un file di valori separati da virgole (.csv) che contiene i dati in questo pannello.
Puoi anche visualizzare una sequenza temporale che mostra il traffico in entrata e in uscita nei 7 giorni precedenti. La sequenza temporale può aiutare a determinare se il volume di traffico è insolito per quell'istanza EC2.
Se identifichi un'istanza EC2 con un volume di traffico sospetto, puoi passare direttamente dal pannello al profilo dell'istanza EC2 per continuare l'indagine. Puoi anche visualizzare il profilo dell'account proprietario dell'istanza EC2. Per visualizzare un profilo, scegli l'istanza EC2 o l'identificatore dell'account.
Cluster di container con il maggior numero di pod Kubernetes
La sezione Cluster di container con il maggior numero di pod Kubernetes identifica i cluster con il maggior numero di container in esecuzione nelle 24 ore precedenti.
Questo pannello include fino a 100 cluster organizzati in base ai quali ai cluster era associato il maggior numero di risultati. Per ogni cluster è possibile visualizzare l'account associato, il numero corrente di container in quel cluster e il numero di risultati associati al cluster nelle ultime 24 ore. È possibile esportare un file di valori separati da virgole (.csv) che contiene i dati in questo pannello.
Se identifichi un cluster con risultati recenti, potete passare direttamente dal pannello al profilo del cluster per continuare l'indagine. Puoi anche passare al profilo dell'account proprietario del cluster. Per passare a un profilo, scegli il nome del cluster o l'identificatore dell'account.
Notifica del valore approssimativo
In Ruoli e utenti con il maggior volume di chiamate API e Istanze EC2 con il maggior volume di traffico, se un valore è seguito da un asterisco (*), significa che il valore è un'approssimazione. Il valore vero è uguale o maggiore del valore visualizzato.
Ciò si verifica a causa del metodo utilizzato da Detective per calcolare il volume per ogni intervallo di tempo. Nella pagina Riepilogo, l'intervallo di tempo è di un'ora.
Per ogni ora, Detective calcola il volume totale per i 1.000 utenti, ruoli o istanze EC2 con il volume maggiore. Esclude i dati per gli utenti, i ruoli o le istanze EC2 rimanenti.
Se una risorsa a volte si trovava tra le prime 1.000 e a volte no, il volume calcolato per quella risorsa potrebbe non includere tutti i dati. Vengono esclusi i dati relativi agli intervalli di tempo in cui non era tra i primi 1.000.
Tieni presente che questo vale solo per la pagina Riepilogo. Il profilo per l'utente, il ruolo o l'istanza EC2 fornisce dettagli precisi.
